Automatyczna inicjalizacja biletu Kerberos podczas logowania


10

Używam ksshaskpassdo dodawania kluczy chronionych hasłem ssh-agentpo zalogowaniu się do KDE, czy jest coś podobnego dla Kerberos?

Odpowiedzi:


12

Chciałbym użyć pam-krb5 .

Na Debianie i Ubuntu tak powinno być apt-get install libpam-krb5.

Konfiguracja PAM wyglądałaby mniej więcej tak:

auth required pam_unix.so
auth optional pam_krb5.so try_first_pass

lub

auth required pam_unix.so
auth optional pam_krb5.so use_first_pass   

w /etc/pam.d/common-auth.

Pobiera hasło użyte do lokalnego uwierzytelnienia, np. Hasło do /etc/shadow, a następnie próbuje użyć tego samego hasła, co hasło Kerberos.

Jeśli hasło Kerberos jest takie samo jak hasło systemowe, nie musisz go wpisywać ponownie.

Jeśli twoje hasło Kerberos jest inne niż hasło systemowe, to co się stanie, zależy od tego, czy użyłeś try_first_passczy use_first_pass:

  • try_first_pass poprosi o podanie hasła Kerberos
  • use_first_passnie zapyta cię, ale będziesz musiał kinitpóźniej biec sam

Zauważ, że to prawdopodobnie powoduje, że ksshaskpass też jest zbędny, ponieważ możesz również mieć:

auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass

W systemach Debian i Ubuntu wymaga to instalacji libpam-ssh .


Tak, wiem o tym, ale chciałbym jakieś rozwiązanie, które działa z różnymi hasłami.
Šimon Tóth,

@Let_Me_Be: Czy możesz opracować? try_first_passlub w takim przypadku żadna opcja nie powinna działać.
Mikel

1
Jak by to działało, gdyby moja nazwa użytkownika Kerberos różniła się od lokalnej nazwy użytkownika? Np . gertKontra gertvdijk.
gertvdijk

Byłoby wspaniale mieć kinit za pomocą breloka, czy ktoś wie coś takiego?
Dave

1

Zwykle Kerberos byłby zintegrowany z PAM pam_krb5.so. Spróbuje uzyskać bilet Kerberos na podstawie Twojej nazwy użytkownika i hasła, które podasz. Może to również wykorzystać do sprawdzenia, czy możesz się zalogować, ale możesz ustawić ignorowanie, jeśli chcesz tylko bilet. Musi być dodany zarówno jako moduł uwierzytelniania, jak i moduł sesji, prawdopodobnie także hasło, jeśli planujesz zachować synchronizację hasła Kerberos z pulpitem. Jeśli planujesz używać Kerberos do weryfikacji loginu użytkownika, powinieneś również skonfigurować plik keytab pod adresem /etc/krb5.keytab z kluczem host / hostname.example.com@EXAMPLE.COM zamień nazwę hosta i example.com odpowiednio dla twoje środowisko.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.